KI und Versicherungen: Die wichtigsten Rechtsfragen unter der Lupe

Smartes Underwriting, bessere Risikoselektion, Beschleunigung und Kostenreduktion beim Schadensmanagement und vieles mehr. Der Einsatz von Künstlicher Intelligenz hält gerade für die Versicherungswirtschaft ebenso vielfältige wie vollmundige Verheißungen bereit. Indes hält das Recht auch in diesem dynamischen Bereich bereits so manchen Fallstrick bereit.

Nicht zu unterschätzen ist die Bedeutung des Datenschutzrechts, das – ebenso wie das Antidiskriminierungsrecht – zur Transparenz und Erklärbarkeit der KI zwingt. Hinzu treten bislang weitgehend unbeachtete Rückkopplungen mit dem Versicherungsvertragsrecht. Als künftige Herausforderungen sind schließlich Offenlegungspflichten gegenüber Versicherungsaufsichtsbehörden sowie die jüngsten Initiativen auf EU-Ebene zu erwähnen. All das gilt es im Blick zu behalten, wenn die Innovationskraft der „Labs“ und „Schnellboote“ nicht durch das dichte Netz der Paragrafen jäh gebremst werden soll.

Auf Ebene des Datenschutzrechts stellt zunächst Art. 22 DSGVO Hürden auf. Diese Norm verbietet grundsätzlich eine rein automatisierte Entscheidungsfindung durch KI-Einsatz: Alle Vertragsinteressenten und VN sollen vielmehr das Recht auf eine „nicht-automatisierte“ Entscheidung haben, etwa bei der vorvertraglichen Risikoprüfung, dem Vertragsschluss und der Entscheidung über den Leistungsanspruch. Von diesem Grundsatz der menschlichen (Letzt)Entscheidungskompetenz sehen aber sowohl das deutsche als auch das unionale Datenschutzrecht Ausnahmen vor.

KI-Einsatz nach § 37 BDSG: Ein Flickenteppich

Gewisse Privilegien hat sich die Versicherungswirtschaft zunächst durch § 37 BDSG gesichert: Diese Norm nutzt die durch Art. 22 Abs. 2 lit. b, Abs. 4 DSGVO gewährten nationalen Gestaltungsspielräume und gestattet eine automatisierte – und damit auch KI-basierte – Entscheidung zumindest hinsichtlich der Leistungserbringung im Rahmen von Versicherungsverträgen aller Sparten.

Dies betrifft den KI-Einsatz sowohl gegenüber dem VN und anderen Beteiligten des Versicherungsverhältnisses als auch gegenüber Geschädigten, die z.B. nach § 115 VVG einen Direktanspruch gegen den VR haben.  § 37 BDSG erlaubt dabei ausdrücklich auch die Verarbeitung besonders sensibler Daten i.S.d. Art. 9 DSGVO, wie z.B. Gesundheitsdaten. Allerdings enthält § 37 Abs. 1 Nr. 1 BDSG eine entscheidende Einschränkung: Zulässig sind nur KI-basierte automatisierte Entscheidungen, die dem „Begehren“ des VN stattgeben.

Die Schwierigkeiten beginnen hier also immer schon dann, wenn das Leistungsverlangen des VN auch nur teilweise abgelehnt wird: Solche Regulierungsentscheidungen wären grundsätzlich in einen – voll KI-basierten – stattgebenden Teil einerseits und einen ablehnenden – und daher zwingend von einem Mitarbeiter mitzutragenden – Teil andererseits aufzuspalten. Großzügiger ist der Gesetzgeber nur bei ablehnenden Entscheidungen in der PKV, soweit die Ablehnung hier auf verbindlichen Entgeltregelungen für Heilbehandlungen beruht.

Für sich genommen ermöglicht § 37 BDSG damit nur einen unbefriedigenden „Flickenteppich“ der KI-Nutzung: Bei der Vertragsanbahnung, Durchführung und Beendigung sowie bei der Ablehnung von Deckungsschutz gibt diese Vorschrift kaum einen Freibrief für den ausschließlichen KI-Einsatz. Gleiches gilt insbesondere für das Marketing. Dies führt zur Frage, ob VR sich dann zumindest auf andere Erlaubnistatbestände stützen können.

Rettungsanker Art. 22 Abs. 2 lit a, c, Abs. 4 DSGVO

Nach § 22 Abs. 2 lit. a DSGVO soll die automatisierte Entscheidung zunächst zulässig sein, soweit sie zum Abschluss oder zur Durchführung des Vertrags erforderlich ist. Fraglos ist z.B. die Risikoprüfung und die darauf basierende Entscheidung über die Annahme des Antrags des VN ebenso zwingend erforderlich wie z.B. die Datenverarbeitung zur Prüfung des Leistungsanspruchs.

Allerdings: KI-basiert müssen all diese Schritte beim derzeitigen Stand nur in den seltensten Fällen sein. Zu erwägen ist dies etwa bei Telematik-Tarifen, bei denen die (rein) menschliche Bearbeitung an Grenzen stößt.  Im Übrigen ist es höchst zweifelhaft, ob allein das Argument der wirtschaftlichen Kostenvorteile gegenüber dem Einsatz von Mitarbeitern ausreicht, um solche Verarbeitungsvorgänge in den Augen des strengen EU-Datenschutzrechts zu legitimieren.

Dann bliebe nur die explizite Einwilligung des VN in die KI-basierte Entscheidung nach Art. 22 Abs. 2 lit. c DSGVO. Eine solche ausdrückliche Einwilligung erzwingt Art. 22 Abs. 4 DSGVO ohnehin, wenn der KI-Einsatz „sensible Daten“ i.S.d. Art. 9 Abs. 1 DSGVO – wie etwa Gesundheitsdaten, biometrische oder genetische Informationen – erfasst: Soweit hier nicht eine der bereits beschriebenen Fallgruppen des § 37 BDSG vorliegt, kommt man bei dieser Datenkategorie also nicht um die Einwilligung herum. Doch auch bei der Einwilligung lauern Fallstricke, weil Art. 7 DSGVO u.a. hohe Anforderungen an deren Freiwilligkeit stellt.

Insbesondere muss der VR dem Einwilligenden bereits im Zeitpunkt der Einholung der Einwilligung nach Art. 13 Abs. 3 lit. f oder Art 14 Abs. 2 lit. g DSGVO ausreichende Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen von KI-basierten Entscheidungen zur Verfügung stellen. Wie weit diese Informationen im Einzelnen gehen müssen, ist beim derzeitigen Stand nicht mit letzter Sicherheit zu sagen. Das stellt eine praktische Hürde auf, die im Interesse des technologischen Fortschritts – hoffentlich – zu überwinden ist.

Datenschutzrechtliche Schwierigkeiten

Diffizil wird es aus datenschutzrechtlicher Sicht, wenn mehrere Akteure von der KI-basierten Entscheidung i.R.d. Versicherungsverhältnisses betroffen sind und es daher mit der Einwilligung des VN nicht getan ist. Zu denken ist z.B. an abweichende Gefahrpersonen, Prämienzahler oder den in die Schadensregulierung qua Direktanspruch nach § 115 VVG involvierten Geschädigten. Zudem hat es der von der Datenverarbeitung Betroffene stets in der Hand, der KI-basierten Datenverarbeitung durch den jederzeit möglichen Widerruf der Einwilligung den Boden zu entziehen. Hier sind also vernünftige Gestaltungen i.R.d. gesetzlichen Spielräume gefragt.

Der von der KI-basierten Entscheidung Betroffene hat allerdings in allen Konstellationen das Recht, das „Eingreifen“ eines Menschen zu erwirken und die Entscheidung „anzufechten“. Dazu gibt ihm die DSGVO Informations- und Auskunftsansprüche – und zwar auch in Bezug auf den KI-basierten Entscheidungsprozess. Der KI-Einsatz in der Versicherungswirtschaft bringt demnach erhebliche Informations- und Auskunftslasten mit sich und kommt noch lange nicht ohne den „menschlichen Faktor“ aus.

Autor: Prof. Dr. Jan Lüttringhaus, LL.M., Inhaber des Lehrstuhls für Bürgerliches Recht und Versicherungsrecht an der Leibniz Universität Hannover und Vorstandsmitglied des House of Insurance.

Den vollständigen Beitrag lesen Sie in der aktuellen Juni-Ausgabe des Magazins Versicherungswirtschaft.